기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 계정에서 사전 예방적 제어 기반 후크 활성화
<a name="proactive-controls-hooks-activate-hooks"></a>

다음 주제에서는 계정에서 사전 예방적 제어 기반 후크를 활성화하여 활성화된 계정 및 리전에서 사용할 수 있도록 하는 방법을 보여줍니다.

**중요**  
계속하기 전에 후크 작업에 필요한 권한이 있는지 확인하고 CloudFormation 콘솔에서 사전 예방적 제어를 확인합니다. 자세한 내용은 [CloudFormation 후크에 대한 IAM 권한 부여](grant-iam-permissions-for-hooks.md) 단원을 참조하십시오.

**Topics**
+ [사전 예방적 제어 기반 후크 활성화(콘솔)](#proactive-controls-hooks-activate-hook-console)
+ [사전 예방적 제어 기반 후크 활성화(AWS CLI)](#proactive-controls-hooks-activate-hooks-cli)

## 사전 예방적 제어 기반 후크 활성화(콘솔)
<a name="proactive-controls-hooks-activate-hook-console"></a>

**계정에서 사용할 사전 예방적 제어 기반 후크를 활성화하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) CloudFormation 콘솔을 엽니다.

1. 화면 상단의 탐색 모음에서 후크를 생성할를 선택합니다 AWS 리전 .

1. 왼쪽 탐색 창에서 **후크를** 선택합니다.

1. **후크** 페이지에서 **후크 생성을** 선택한 다음 **제어 카탈로그를 사용하여을** 선택합니다.

1. **제어 선택** 페이지의 **선제적 제어**에서 사용할 선제적 제어를 하나 이상 선택합니다.

   이러한 제어는 지정된 리소스가 생성되거나 업데이트될 때마다 자동으로 적용됩니다. 선택하면 후크가 평가할 리소스 유형이 결정됩니다.

1. **다음**을 선택합니다.

1. **후크 이름**에서 다음 옵션 중 하나를 선택합니다.
   + 뒤에 추가될 짧은 설명 이름을 제공합니다`Private::Controls::`. 예를 들어 *`MyTestHook`*를 입력하면 전체 후크 이름이가 됩니다`Private::Controls::MyTestHook`.
   + 형식을 사용하여 전체 후크 이름(별칭이라고도 함)을 입력합니다`Provider::ServiceName::HookName`.

1. **후크 모드에서** 제어가 평가에 실패할 때 후크가 응답하는 방식을 선택합니다.
   + **경고** - 사용자에게 경고를 발행하지만 작업을 계속할 수 있습니다. 이는 중요하지 않은 검증 또는 정보 검사에 유용합니다.
   + **실패** - 작업이 진행되지 않도록 합니다. 이는 엄격한 규정 준수 또는 보안 정책을 적용하는 데 유용합니다.

1. **다음**을 선택합니다.

1. (선택 사항) **후크 필터**의 경우 다음을 수행합니다.

   1. **필터링 기준**에서 스택 이름 및 스택 역할 필터를 적용하기 위한 로직을 선택합니다.
      + **모든 스택 이름 및 스택 역할** - 후크는 지정된 모든 필터가 일치하는 경우에만 호출됩니다.
      + **스택 이름 및 스택 역할** - 지정된 필터 중 하나 이상이 일치하면 후크가 호출됩니다.

   1. **스택 이름**의 경우 후크 호출에서 특정 스택을 포함하거나 제외합니다.
      + **포함**에서 포함할 스택 이름을 지정합니다. 대상으로 지정할 특정 스택 세트가 적을 때 사용합니다. 이 목록에 지정된 스택만 후크를 호출합니다.
      + **제외**에서 제외할 스택 이름을 지정합니다. 대부분의 스택에서 후크를 호출하지만 몇 가지 특정 스택을 제외하려는 경우이 옵션을 사용합니다. 여기에 나열된 스택을 제외한 모든 스택은 후크를 호출합니다.

   1. **스택 역할**의 경우 연결된 IAM 역할에 따라 후크 호출에서 특정 스택을 포함하거나 제외합니다.
      + **포함**에서 이러한 역할과 연결된 스택을 대상으로 할 하나 이상의 IAM 역할 ARNs을 지정합니다. 이러한 역할에서 시작된 스택 작업만 후크를 호출합니다.
      + **제외**에서 제외하려는 스택에 대해 하나 이상의 IAM 역할 ARNs을 지정합니다. 후크는 지정된 역할에 의해 시작된 스택을 제외한 모든 스택에서 호출됩니다.

1. **다음**을 선택합니다.

1. **검토 및 활성화** 페이지에서 선택 사항을 검토합니다. 변경하려면 관련 섹션에서 **편집**을 선택합니다.

1. 계속할 준비가 되면 **후크 활성화**를 선택합니다.

## 사전 예방적 제어 기반 후크 활성화(AWS CLI)
<a name="proactive-controls-hooks-activate-hooks-cli"></a>

계속하기 전에이 후크에 사용할 사전 예방적 제어를 식별했는지 확인합니다. 자세한 내용은 [AWS Control Tower Control Catalog](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html)를 참조하세요.

**계정에서 사용할 사전 예방적 제어 기반 후크를 활성화하려면(AWS CLI)**

1. 후크 활성화를 시작하려면 다음 [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/activate-type.html) 명령을 사용하여 자리 표시자를 특정 값으로 바꿉니다.

   ```
   aws cloudformation activate-type --type HOOK \
     --type-name AWS::ControlTower::Hook  \
     --publisher-id aws-hooks \
     --type-name-alias MyOrg::Security::ComplianceHook \
     --region us-west-2
   ```

1. 후크 활성화를 완료하려면 JSON 구성 파일을 사용하여 후크를 구성해야 합니다.

   **cat** 명령을 사용하여 다음 구조의 JSON 파일을 생성합니다. 자세한 내용은 [후크 구성 스키마 구문 참조](hook-configuration-schema.md) 단원을 참조하십시오.

   다음 예제에서는 `CREATE` 및 `UPDATE` 작업 중에 특정 IAM, Amazon EC2 및 Amazon S3 리소스에서를 호출하는 후크를 구성합니다. 세 가지 사전 예방적 제어(`CT.IAM.PR.5`, `CT.EC2.PR.17`, `CT.S3.PR.12`)를 적용하여 규정 준수 표준에 따라 이러한 리소스를 검증합니다. 후크는 `WARN` 모드에서 작동합니다. 즉, 규정을 준수하지 않는 리소스에는 경고가 표시되지만 배포는 차단되지 않습니다.

   ```
   $ cat > config.json
   {
     "CloudFormationConfiguration": {
       "HookConfiguration": {
         "HookInvocationStatus": "ENABLED",
         "TargetOperations": ["RESOURCE"],
         "FailureMode": "WARN",
         "Properties": {
           "ControlsToApply": "CT.IAM.PR.5,CT.EC2.PR.17,CT.S3.PR.12"
         },
         "TargetFilters": {
           "Actions": [
             "CREATE",
             "UPDATE"
           ]
         }
       }
     }
   }
   ```
   + `HookInvocationStatus`: 후크를 활성화`ENABLED`하려면 로 설정합니다.
   + `TargetOperations`: 선제적 제어 기반 후크에 대해 지원되는 유일한 값이기 `RESOURCE` 때문에 로 설정합니다.
   + `FailureMode`: `FAIL` 또는 `WARN`로 설정합니다.
   + `ControlsToApply`: 사용할 사전 예방적 제어의 제어 IDs를 지정합니다. 자세한 내용은 [AWS Control Tower Control Catalog](https://docs.aws.amazon.com/controltower/latest/controlreference/controls-reference.html)를 참조하세요.
   + (선택 사항) `TargetFilters`:의 경우 `CREATE` 또는 `UPDATE`, 또는 둘 다(기본값)를 지정하여 후크가 호출되는 시기를 제어할 `Actions`수 있습니다. `CREATE` 만 지정하면 후크가 `CREATE` 작업으로만 제한됩니다. 다른 `TargetFilters` 속성은 효과가 없습니다.

1. 다음 [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html) 명령을 생성한 JSON 파일과 함께 사용하여 구성을 적용합니다. 자리 표시자를 특정 값으로 바꿉니다.

   ```
   aws cloudformation set-type-configuration \
     --configuration file://config.json \
     --type-arn "arn:aws:cloudformation:us-west-2:123456789012:type/hook/MyOrg-Security-ComplianceHook" \
     --region us-west-2
   ```